Furto di credenziali con versioni fake di note VPN
Topic
Approfondimenti
Trending
tutti

Furto di credenziali con versioni fake di note VPN

I ricercatori di Microsoft hanno scoperto false VPN pubblicizzate sui motori di ricerca e distribuite tramite siti cloni che rubano le credenziali.
Furto di credenziali con versioni fake di note VPN
Sicurezza
I ricercatori di Microsoft hanno scoperto false VPN pubblicizzate sui motori di ricerca e distribuite tramite siti cloni che rubano le credenziali.
Google AI Studio

Gli esperti di Microsoft hanno identificato una nuova campagna malware a metà gennaio, il cui obiettivo è rubare le credenziali tramite client VPN fasulli pubblicizzati sui motori di ricerca. I cybercriminali del gruppo Storm-2561 (il nome esatto non è noto) cercano di ingannare gli utenti con varie tecniche, tra cui SEO poisoning e ingegneria sociale.

Attenzione ai risultati dei motori di ricerca

La catena di infezione inizia quando l’ignara vittima cerca una VPN su Google o altri motori di ricerca. Digitando ad esempio “Pulse VPN download” o “Pulse Secure client” vengono mostrati alcuni siti in cima ai risultati che sembrano legittimi. I cybercriminali hanno sfruttato una tecnica, nota come SEO poisoning, per “avvelenare” l’algoritmo del motore di ricerca ottenendo una maggiore visibilità nei risultati.

I siti sono ovviamente fake, ma gli utenti più distratti non si accorgono che l’URL non è quello ufficiale. Cliccando sul pulsante di download viene scaricato un archivio ZIP ospitato su GitHub (il repository è stato chiuso). Al suo interno è presente un installer MSI della presunta VPN. Nel caso di Pulse Secure VPN vengono copiati sul computer tre file: Pulse.exe, dwmapi.dll e inspector.dll.

Quando l’utente avvia Pulse.exe viene caricata in memoria la prima DLL. Si tratta di un loader che lancia la seconda DLL, ovvero una variante del noto infostealer Hyrax. Viene inoltre aggiunta una chiave al registro di Windows per la persistenza (avvio automatico dell’eseguibile ad ogni login).

Sia l’installer che le DLL sono firmate con un certificato digitale valido (successivamente revocato), quindi non veniva mostrato nessun avviso di pericolo. All’avvio del client VPN appare una schermata di login simile a quella legittima. Quando l’utente inserisce le credenziali viene mostrato un errore e chiesto di scaricare il vero client di Pulse Secure VPN.

L’infostealer ruba quindi le credenziali di login e i dati di configurazione della VPN dal file connectionstore.dat in C:\ProgramData\Pulse Secure\ConnectionStore\, successivamente inviati al server C2 (comand and control) dei cybercriminali. Microsoft consiglia di usare l’autenticazione multi-fattore e attivare la protezione cloud di Defender Antivirus.

Fonte: Microsoft

Pubblicato il 16 mar 2026

Link copiato negli appunti

Ti potrebbe interessare

Google, Meta, Amazon e OpenAI contro le truffe: arriva l'alleanza

Google, Meta, Amazon e OpenAI contro le truffe: arriva l'alleanza
Surfshark a meno di 2€ al mese con VPN, antivirus, ad-block e anti-tracker

Surfshark a meno di 2€ al mese con VPN, antivirus, ad-block e anti-tracker
Avast Premium Security: l'antivirus che blocca il 100% delle minacce

Avast Premium Security: l'antivirus che blocca il 100% delle minacce
Violazione della privacy: annullata la multa per Amazon

Violazione della privacy: annullata la multa per Amazon
Google, Meta, Amazon e OpenAI contro le truffe: arriva l'alleanza

Google, Meta, Amazon e OpenAI contro le truffe: arriva l'alleanza
Surfshark a meno di 2€ al mese con VPN, antivirus, ad-block e anti-tracker

Surfshark a meno di 2€ al mese con VPN, antivirus, ad-block e anti-tracker
Avast Premium Security: l'antivirus che blocca il 100% delle minacce

Avast Premium Security: l'antivirus che blocca il 100% delle minacce
Violazione della privacy: annullata la multa per Amazon

Violazione della privacy: annullata la multa per Amazon
Luca Colantuoni
Pubblicato il
16 mar 2026
Link copiato negli appunti